WordPress nie zaliczy minionych tygodni do udanych. W wersji 4.7.1 została wykryta krytyczna luka, którą cyberprzestępcy chętnie wykorzystywali. Skala problemu mogłaby być jednak mniejsza gdyby nie jedna, malutka na pozór kwestia.
Zacznijmy jednak od początku. Otóż WordPress w wersji 4.7.1 (jak i 4.7) okazał się dziurawy. Najgroźniejsza (bo najłatwiejsza do wykorzystania) luka znajdowała się w interfejsie REST API, który daje dostęp do wszystkich danych z panelu administracyjnego. Innymi słowy, cyberprzestępca mógł podmienić treść na stronie, bez jakiejkolwiek autoryzacji.
Pod koniec stycznia opublikowana została wersja 4.7.2 łatająca tę lukę. Mimo to – jak informuje serwis WPzen – dziesiątki tysięcy stron wciąż są podatne na ten konkretny atak. Dlaczego? Ponieważ ich administratorzy ręcznie wyłączyli automatyczne aktualizacje i wersji 4.7.2. nie dostali. Najczęściej w obawie o to, że kolejna aktualizacja może coś „zepsuć”.
Pretensje do WordPressa za udostępnienie dziurawej aktualizacji i automatyczną aktywację REST API, są całkowicie uzasadnione. Równie dużą odpowiedzialność za zmasowane ataki ponoszą jednak właściciele stron, którzy wyłączyli automatyczne aktualizacje. Znacznie lepszym rozwiązaniem (w trosce o witrynę), byłoby najzwyklejsze w świecie robienie kopii zapasowej.
Źródło: WPzen, WordPress, Securi.net

Komentarze 6
BrumBrumBrum
Oceń komentarz:3
Opublikowano: 2017-03-13 11:46Ladros
Oceń komentarz:-3
Opublikowano: 2017-03-13 13:26Marucins
Oceń komentarz:1
Opublikowano: 2017-03-13 13:33mojeprogramy.com
Oceń komentarz:1
Opublikowano: 2017-03-13 14:31adriandj83
Oceń komentarz:1
Opublikowano: 2017-03-13 19:19jkaminski
Oceń komentarz:1
Opublikowano: 2017-03-14 09:23zgłoś naruszenie netykiety lub złe zachowanie